מתקפות סייבר: יקרות יותר מאשר ההתחממות הגלובלית

מחקר חדש מצא שמתקפות סייבר זדוניות ותקריות דליפת מידע גורמות לנזקים בשווי מיליארדים רבים בשנה. כיצד ניתן למזער את הנזקים ולהיערך למתקפות עתידיות?

REUTERS/Tom Westbrook

הנזקים הכספיים הנגרמים ממתקפות סייבר על ארגונים ותשתיות מדינה קריטיות נאמדים בעשרות, אם לא מאות, מיליארדי דולרים בשנה. יותר מפגעי טבע. יותר משיטפונות. יותר מההתחממות הגלובלית.

מחקר של חברת IBM ושל מכון המחקר Ponemon, שנערך בקרב 500 ארגונים בארצות הברית, מצא שהעלות הממוצעת לארגון בשל אירוע דליפת מידע עומד על 3.9 מיליון דולר.

אך דליפת מידע הוא אינו הנושא היחיד שמאיים על חוסנם הכלכלי והתדמיתי של ארגונים שונים. קיימים כיום איומים שיכולים לשתק תחנות כוח, רכבות ורמזורים. תארו לעצמכם כמה תעלה למשק הישראלי מתקפה על רמזורים שתפגע ביכולתנו להתנייד. המספרים מאמירים למיליארדים במהירות מסחררת.

על פי המחקר, חצי ממקרי דליפת המידע נובעים ממתקפות זדוניות או פליליות על הארגון, רבע מהם נובעים משגיאות מערכת, והרבע הנותר - מטעויות אנוש. כמו כן, המחקר העלה שמדי שנה ישנה עלייה בחלק היחסי של המתקפות הזדוניות.

 אנחנו כבר יודעים כי האקר שיש לו מספיק זמן, מוטיבציה וכסף – יצליח לחדור אפילו לפנטגון. אז כיצד ניתן למזער את הנזק? ואיך אפשר להיערך לקראת מתקפת הסייבר שבוא תבוא?

פבלו גוט, כותב המאמר. קרדיט תמונה: סאם יעקובסון. 

החדשות הרעות הן שכנראה לא ניתן לייצר פתרון קסם שיספק הגנה מוחלטת. לכן, בעולמות של אבטחת מידע מדברים על mitigation, משמע, צמצום החשיפה או הנזק.

כדי לשפר את יכולות ההגנה ומזעור הנזקים, ההמלצה לארגונים היא לבצע איחוד של מערכות אבטחת מידע. כיום, קיים בארגונים ריבוי פתרונות וכלים שאינם "מדברים" זה עם זה. אם כלי אחד איתר מתקפה, כלי אחר לא בהכרח יוכל לדעת שמתרחש משהו בארגון. כיון ששם המשחק הוא מענה מהיר, חשוב מאוד לאחד מערכות אבטחת מידע המנוהלות דרך מערכת ניהול אחת, שיכולה לקבל כמה שיותר מידע על המתרחש ברשת הארגונית.

לגבי הגורם האנושי, קיימים כלים ומערכות לומדה עבור העובדים, וכן הרצאות פרונטליות שיכולות להגביר את המודעות של עובדי הארגון לגבי מתקפות נפוצות כגון מתקפות דיוג ((phishing, המוכרות כמעט לכל משתמש.

המתקפות הזדוניות הן החלק המאתגר יותר עבור ארגונים. מטרתן היא לייצר חסמים גבוהים מספיק כדי לפגוע במוטיבציה של ההאקר לרווח כספי מהיר ונטול סיכונים. על פי המחקר, הארגונים שנמצאים בסיכון הגבוה ביותר הם בתי חולים וגופים פיננסיים.

כדי שארגונים אלה יבטיחו לעצמם רמת אבטחת מידע גבוהה וצמצום נזקים כספיים ותדמיתיים, עליהם לבצע מהלכים כוללים שמטרתם "להרעיב את התוקף", על ידי סגירת הפרצות והחוליות החלשות בארגון ותוך שימוש בכלי אבטחת מידע מתקדמים.

 

פבלו גוט,  כותב המאמר, הינו סמנכ"ל מכירות ב-2BSecure, חברת אבטחת המידע של מטריקס. 2Bsecure הינה מהחברות המובילות בארץ בתחום מתן שירותי אבטחת המידע, המספקת ליותר מ-250 חברות וארגונים בארץ ובעולם בפרונות אבטחה מתקדמים בתחום הייעוץ והאינטגרציה. 
סייע בעריכת המאמר: ד''ר נועם ויינבלט, מנהל תחום GRC ב-2BSecure.

אולי יעניין אותך גם